Ex und SOC? : Herausforderungen erkennen, Sicherheit stärken – Überlegungen zu Beauftragung und Einsatz externer Security-Operations-Center (SOCs)

Besonders in Zeiten eines derart akuten Fachkräftemangels sichern ausgelagerte SOCs rund um die Uhr den Einsatz hochqualifizierter Sicherheitsexperten. Solche Lösungen garantieren 24/7-Betreuung, einschließlich Nachtschichten, was für viele Unternehmen intern nicht umsetzbar ist, aber entscheidend wäre – denn böswillige Akteure halten sich schließlich auch nicht an Kernarbeitszeiten. So lassen sich erheblich kürzere Reaktionszeiten erzielen, da Angriffe oder Unregelmäßigkeiten sofort identifiziert und abgewehrt werden können. Während interne Teams oft durch begrenzte Ressourcen ausgebremst werden (vgl. auch [3,4]), gewährleistet ein externes SOC idealerweise eine lückenlose Überwachung und schützt so zuverlässig vor größeren Schäden. Zudem bieten externe SOC-Lösungen Zugriff auf fortschrittliche Technologie wie Threat-Hunting und Dark-Web-Analysen, was ein internes Security-Operations-Center in der Regel nicht leisten könnte.

Darüber hinaus versprechen SOC-Dienstleister, die Kosten für IT-Sicherheit kontrollier- und planbarer zu machen: Modulare Lösungen sollen Unternehmen Flexibilität verschaffen und unerwartete Ausgaben vermeiden, die bei internen Sicherheitslösungen immer wieder auftreten können. Eine solche Planbarkeit entlastet besonders in einem Umfeld, das schnelle Reaktionen in einer dynamischen Bedrohungslandschaft erfordert. Denn um effektiv neue Bedrohungen abwenden zu können, ist es notwendig, hinsichtlich Threat-Hunting (vgl. [5]), Detection-Rules und neuer Angriffsszenarien immer auf dem aktuellen Stand zu bleiben und dafür regelmäßig Schulungen anzubieten. Das trägt aber eben auch dazu bei, interne Sicherheit unberechenbar und kostenintensiv zu machen.

Unterschätzte potenzielle Kosten

Zudem wird in Unternehmen das Risiko eines Cyberangriffs meist unterschätzt und nicht mit „eingepreist“. Mögliche Folgen wie Betriebsunterbrechungen, Datenverluste oder Reputationsschäden können jedoch erhebliche finanzielle Auswirkungen haben. Bei der Kostenbewertung von Cybersicherheits-Maßnahmen sollten Unternehmen einen umfassenden und vorausschauenden Ansatz verfolgen. Denn jede Sicherheitslücke macht einen erfolgreichen Angriff wahrscheinlicher und mit jeder Sicherheitslücke steigt auch der potenzielle finanzielle Schaden eines Angriffs.

Berücksichtigt man dieses Risiko, kann sich eine interne Sicherheitslösung langfristig als teurer erweisen als ein externes SOC, das solche drohenden Kosten durch präventive Maßnahmen und vor allem 24/7-Überwachung deutlich reduzieren kann. Ausgelagerte Cybersicherheit führt zwar nicht zwangsläufig zu direkten Einsparungen, bietet jedoch ein Sicherheitsniveau, das intern mit vergleichbaren Mitteln meist nicht zu erreichen ist.

Ein weiterer Grund, sich für ein externes SOC zu entscheiden, ist die zunehmende Komplexität von Richtlinien: Die Compliance etwa zu NIS-2 oder dem CRA zu prüfen und einzuhalten, benötigt zusätzliche Ressourcen – gerade in Zeiten der Umstellung beziehungsweise Einführung. Während der Implementierungsphase müssen Unternehmen oft erhebliche Ressourcen investieren: Sie müssen interne Prozesse analysieren und neu aufsetzen, teilweise neue Technologie einführen und entsprechende Schulungen anbieten. Dadurch steigt der Personal- und Zeitaufwand vorübergehend stark an, was oft nur schwer zu bewältigen ist – denn intern lassen sich solche „Spitzen“ beim Bedarf an qualifizierten Fachkräften nur schwer stemmen.

Ein externer SOC-Dienstleister sollte Firmen hingegen auch bei der Einführung von und der Anpassung an neue Compliance Anforderungen unterstützen. Seine Sicherheitsexperten können Systeme an neue Richtlinien anpassen und ihre Einhaltung kontinuierlich in ihren Prozessen sicherstellen. Da Verstöße für Unternehmen teuer werden können, wird Compliance zunehmend auch zum Geschäftsrisiko: Für Organisationen mit kritischer Infrastruktur (KRITIS) können bei Verstößen gegen NIS-2 Bußgelder immerhin bis zu 10 Millionen Euro oder zwei Prozent des gesamten Jahresumsatzes betragen.

Internes Kontrollverständnis

Gerade für Mittelständler bietet eine externe SOC-Lösung interessante Möglichkeiten: Mit überschaubarem Kostenaufwand können sie ein Sicherheitsniveau erreichen, das intern oft nur mit erheblich höherem Ressourceneinsatz realisierbar wäre. Dennoch gibt es in manchen Unternehmen Vorbehalte gegenüber diesem Ansatz, die mit einer überholten Sicherheitsmentalität zusammenhängen: Über Jahrzehnte hinweg wurde Sicherheit als interne Aufgabe verstanden und eng mit Verantwortung sowie Kontrolle im eigenen Unternehmen verknüpft.

Die Nähe zu den eigenen Sicherheitsteams vermittelt dabei das Gefühl, jederzeit direkten Einfluss nehmen zu können: Entscheidungen werden intern getroffen und umgesetzt, und die Verantwortung für Cybersicherheit bleibt im eigenen Team greifbar. In diesem Kontext kann die Auslagerung von einzelnen Sicherheitsaufgaben als potenzieller Verlust von Kontrolle wahrgenommen werden.

Die Cybersicherheit liegt jedoch auch bei externen SOCs nach wie vor in der Hand des Kunden – lediglich Aufgaben wie die 24/7 Überwachung, Threat-Hunting und proaktive Checks werden ausgelagert. Insofern bleibt die hierfür notwendige kulturelle Veränderung überschaubar. Unternehmen sollten deshalb für die Frage offen bleiben, ob externe Spezialisten in bestimmten Bereichen die Arbeit effizienter verrichten können als ein internes Team. Während viele Unternehmen heute nicht mehr in Erwägung ziehen würden, einen eigenen E‑Mail-/Exchange-Server zu betreiben, bleibt der Übergang zum Modell „Sicherheit als Service“ für einige Firmen offenbar noch herausfordernd.

Gerade in Bezug auf IT-Systeme zeigt die Erfahrung jedoch, dass Sicherheit, die ausschließlich intern gehandhabt wird, nicht zwangsläufig mit mehr Kontrolle gleichzusetzen ist. Denn ein externer Partner könne durch seine Spezialisierung eine umfassendere, effektive Kontrolle rund um die Uhr ermöglichen, an der Unternehmen teilhaben, betont etwa Michael Ganzhorn, Head of SOC beim Elastic-Kooperationspartner SVA. Die automatisierte Anreicherung mit Informationen aus zahlreichen Threat- Intelligence-Quellen (vgl. [6]) sowie eine rund um die Uhr mögliche manuelle Analyse könnten eine fundierte Einschätzung liefern, ob es sich bei Beobachtungen um einen sicherheitsrelevanten Vorfall handele. Weitere Aktivitäten wie die Alarmierung des Kunden oder sofortige Abwehrmaßnahmen könnten dann bei einem entsprechend ausgestatteten Dienstleister ohne Zeitverzug eingeleitet werden.

Überlegungen zur Auslagerung

Wer sich für die Auslagerung von Sicherheitsoperationen entscheidet, muss aber dennoch einige Faktoren abwägen. Einer der ersten Schritte für Unternehmen sollte es sein, ein externes SOC überhaupt in Betracht zu ziehen. Der Versuch, interne Sicherheitslösungen auf eigene Faust zu erweitern, führt häufig zu einem „Flickenteppich“ aus einzelnen Verbesserungen und unterschiedlichen nicht integrierten Softwarekomponenten, die es schwer machen, den Überblick zu bewahren, und gleichzeitig hohe Kosten verursachen (vgl. [7]).

Wenn ein externes SOC nach unzureichenden Einzelmaßnahmen in Erwägung gezogen wird, kann Frustration entstehen: Inkompatibilitäten zwischen bestehenden internen Systemen und angebotenen Lösungen erschweren unter Umständen die Zusammenarbeit mit externen Anbietern, die oft eine Migration der Softwarelandschaft nach sich ziehen. Solche Herausforderungen können die Umstiegskosten drastisch erhöhen und die Auswahl an passenden Dienstleistern einschränken, da viele Anbieter ihre Dienste auf spezifische Plattformen ausrichten. Wenn es um eine langfristige Verbesserung der IT-Sicherheit geht, empfiehlt es sich daher, vorausschauend und ganzheitlich zu denken – und das Thema frühzeitig anzugehen.

Ein guter Startpunkt ist es, von einem Anbieter zunächst eine umfassende Sicherheitsprüfung und Bestandsaufnahme durchführen zu lassen: Das hilft, Schwachstellen im bestehenden System präzise zu identifizieren und konkrete Verbesserungen einzuleiten. Diese Prüfung schafft nicht nur eine klare Roadmap für notwendige Optimierungen, sondern liefert auch fundierte Argumente, um intern die Zustimmung und Unterstützung für das Projekt zu gewinnen.

Auswahl des richtigen Partners

Analog zur Auswahl von Werkzeugen und Komponenten der selbst durchgesetzten Cybersecurity ist bei einer Auslagerung der Sicherheit naturgemäß die Auswahl des richtigen Anbieters entscheidend. Unternehmen sollten dazu zuallererst ihre spezifischen Bedürfnisse definieren. Nur so lässt sich eine effektive Zusammenarbeit gewährleisten, die auf die individuellen Anforderungen abgestimmt ist.

Besonders für Unternehmen, die zögerlich sind mit der Entscheidung, ihr SOC auszulagern, kann es sinnvoll sein, auf eine SOC-Lösung zu setzen, die über ein modulares Angebot verfügt: Unternehmen können mit einem begrenzten Service beginnen und den Umfang der Dienstleistungen schrittweise erweitern. So bleibt die Kontrolle über die Sicherheitsstrategie erhalten, während man gleichzeitig die Expertise externer Partner nutzt. Ein schrittweises Vorgehen minimiert überdies die Risiken, erleichtert die Integration und ermöglicht es Unternehmen, Vertrauen in die (für sie) neuen Prozesse aufzubauen.

Für manche Branchen (z. B. Fertigung und Transportwesen) ist außerdem auch eine mögliche Integration von Operational Technology (OT) in die Sicherheitsinfrastruktur entscheidend. In solchen Bereichen sind Produktionsanlagen und Steuerungssysteme eng mit den operativen Abläufen verknüpft, was sie zu bevorzugten Angriffszielen macht. Gerade hier ist ein konkreter Anbietervergleich entscheidend, denn viele SOC-Lösungen sind nicht auf OT-Bedürfnisse zugeschnitten. Die fehlende Berücksichtigung OT-spezifischer Anforderungen kann aber ebenfalls zu gefährlichen Sicherheitslücken führen.

Gerade für Mittelständler mit lokaler Präsenz kann es wichtig sein, dass ein SOC-Anbieter auch in der Lage ist, ebenfalls lokal zu agieren. Anbieter, die vor Ort repräsentiert sind, können branchenspezifische Besonderheiten sowie kulturelle und rechtliche Rahmenbedingungen (z. B. spezifische Datenschutzgesetze) besonders gut verstehen und umsetzen.

In Deutschland etwa erwarten Unternehmen von ihren SOC-Anbietern beispielsweise nicht nur technisches Fachwissen, sondern auch ein tiefgreifendes Verständnis der EU Datenschutzgrundverordnung (DSGVO) sowie anderer relevanter Vorschriften. Eine lokale Präsenz erleichtert zudem die persönliche Betreuung und den direkten Kontakt, was gerade in sicherheitskritischen Situationen essenziell ist: Unternehmen profitieren von Ansprechpartnern, die nicht nur in der Landessprache kommunizieren, sondern auch zeitnah vor Ort reagieren können, um Probleme schnell und effizient zu lösen. Solche Vorteile fördern nicht nur das Vertrauen in einen Anbieter, sondern stellen eben auch sicher, dass eingesetzte Sicherheitslösungen optimal auf die lokalen Anforderungen abgestimmt sind.

Fazit

Externe SOCs bieten Unternehmen, gerade im Mittelstand, eine zukunftsfähige Lösung für die stetig wachsenden Anforderungen der Cybersicherheit. Sie kombinieren idealerweise hochspezialisiertes Wissen, modernste Technologie und flexible Dienstleistungen, die sich intern oft nicht mit vertretbarem Aufwand erreichen ließen.

Trotz bestehender Vorbehalte wie dem Gefühl des Kontrollverlusts oder der Herausforderung, interne Prozesse anpassen zu müssen, zeigt sich, dass externe SOCs viele dieser Hürden effektiv adressieren können – sei es durch modulare Ansätze, umfassende Sicherheitsprüfungen oder die Integration von OT-Sicherheitsanforderungen.

Die Auswahl des richtigen Anbieters spielt hier eine zentrale Rolle: Lokale Präsenz, Verständnis für branchenspezifische Besonderheiten und transparente Dienstleistungen sind entscheidend, um Vertrauen aufzubauen und Lösungen optimal auf individuelle Bedürfnisse abzustimmen.

Mit einem gezielten und gut geplanten Einstieg in die Zusammenarbeit mit einem externen SOC können Unternehmen dann nicht nur ihre Sicherheitslage erheblich verbessern, sondern auch langfristig Kosten kontrollieren, regulatorische Anforderungen erfüllen und sich besser gegen die komplexen Bedrohungen der digitalen Welt wappnen.

Stefan Grotehans ist Director Solution Architecture EMEA Central bei Elastic.

Literatur

[1] ISC2, Employers Must Act as Cybersecurity Workforce Growth Stalls and Skills Gaps Widen, 2024 Cybersecurity Workforce Study – First Look, September 2024, www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-as-Skills-Gaps-Widen

[2] ISC2, Global Cybersecurity Workforce Prepares for an AI-Driven World, 2024 ISC2 Cybersecurity Workforce Study, Oktober 2024, www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study

[3] Bettina Weßelmann und Johannes Wiele, Anders zum SOC, Der Weg zum Branchenstandard mit flexibler Umsetzung am Beispiel Krankenhaus – Teil 1, <kes> 2020#3, S. 51, www.kes-informationssicherheit.de/print/titelthema-talismann-fetisch-co-von-aberglauben-undpaperwalls/anders-zum-soc/ (<kes>+)

[4] Bettina Weßelmann und Johannes Wiele, Priorisierung tut not, Der Weg zum Branchenstandard mit flexibler Umsetzung am Beispiel Krankenhaus – Teil 2, <kes> 2020#5, S. 20, www.kes-informationssicherheit.de/print/titelthema-malware-2020-same-procedure-asevery-year/priorisierung-tut-not/ (<kes>+)

[5] Michael Haas, Managed Security-Sevices: Verantwortung teilen – Kontrolle gewinnen, <kes> online, Juni 2022, www.kes-informationssicherheit.de/print/titelthema-sicherheits-bewusstsein-und-kultur/verantwortung-teilen-kontrolle-gewinnen/ (<kes>+)

[6] Th eus Hossmann, Sicherheitsanalysten im Wandel der Zeit, <kes> online, April 2024, www.kes-informationssicherheit.de/artikel/sicherheitsanalysten-im-wandel-der-zeit/ (<kes>+)

[7] Bettina Weßelmann und Johannes Wiele, Grüße von der langen Bank – Dauerbaustellen der Security (1), Das SOC hinter den sieben Bergen, <kes> 2016#3, S. 50